三維一體:天融信構建智能制造領域安全防護體系
隨著數字孿生、機器視覺、AI計算等新型信息化技術發展,有效提升了制造企業生產效率,但是信息技術也給工業生產現場帶來了諸多潛在風險。無論是人身安全、設備可用性、工藝流程可用性還是環境安全,在享受信息技術紅利的同時,遭受著其帶來的威脅。結合智能制造領域自身的脆弱性因素,非授權訪問、寄存器數值篡改、實時數據庫漏洞利用、勒索攻擊等均在當前影響著智能制造領域的生產過程,可謂“四面楚歌”。
先進制造作為國之重器,一旦遭到網絡攻擊對整個行業乃至國家將產生重大影響。以智能倉儲為例,立庫、堆垛、AGV/RGV等系統,在生產過程中涉及系統間的橫向交互與監控調度間的總線交互,使得工廠或車間能夠實時監視現場的生產狀況與設備狀態,并根據獲取的信息來優化生產調度與資源配置。借助于這種“一網貫通”的模式,在智能制造領域打通了設計、生產到銷售等各個環節,ERP系統和MES系統在此基礎上實現了資源整合優化。與此同時,這種互聯互通無疑也為網絡攻擊提供了可乘之機,將網絡安全威脅帶到了生產第一現場。
01 政策條例指引,規范安全建設發展
面對制造業日益嚴峻的網絡安全威脅問題,國家在政策層面出臺一系列工業控制系統信息安全建設方向與要求。繼2016年《工業控制系統信息安全防護指南》出臺,《網絡安全法》于2017年正式施行,其明確國家實行網絡安全等級保護制度,同時,在等保2.0中對工業控制系統提出了安全擴展要求。網絡運營者都應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。
隨著工業4.0信息、物理系統的發展,傳統的分層架構已不能完全適用,對于不同的制造企業實際發展情況,允許部分層級合并。因此制造業企業在進行控制網絡安全建設改造時,不能盲目照搬照抄,需結合自身的實際業務場景。
2021年,工信部提出要深入實施創新驅動發展戰略,強化制造強國和網絡強國建設的戰略支撐。工業和信息化系統將統籌發展與安全,以提升產業鏈供應鏈的現代化水平為著力點和落腳點,進一步固根基、揚優勢、補短板,推進制造強國和網絡強國建設,不斷邁上新臺階。此外,“十四五”再度強調了智能制造企業應該完善信息基礎建設、加強安全保障。國家對于智能制造企業信息安全的重視程度可見一斑。
02 以白名單為主,保障工控主機安全
制造業企業的部分生產現場所用的工控機,安裝部署殺毒軟件不但起不到應有的防護作用,甚至適得其反,影響生產,所以黑名單防護機制為主的殺毒軟件不適用于工業現場。
1 大多數制造業生產現場的工控機版本老舊、性能偏低,殺毒軟件一旦運行會占用相當一部分資源,對工控機的使用造成負擔甚至藍屏宕機,直接影響生產線的正常運行生產。
2 殺毒軟件是以黑名單機制運行為主,工控主機由于不能連接互聯網等原因,不能實時更新病毒庫,從而使防護能力大打折扣,甚至完全失去防護作用。
3 由于殺毒軟件很有可能將工控機運行的生產軟件識別成病毒,造成誤殺或者阻斷其運行,導致工控機程序異常,引發生產事故,這在生產現場是決不允許發生的。
天融信認為可以采用基于白名單機制為主的防護軟件,利用工業現場主機環境的穩定性,把業務所需的全部工作進程一鍵加白,只允許業務相關的軟件、腳本運行,其他程序無論是否“無毒無害”,統統不予信任,以保障生產現場工控主機的安全,為安全生產保駕護航。
03 技術+管理,工業控制系統可視化
據有效統計,75%以上工業生產事故源自誤操作,誤操作即通過合法途徑執行的非法操作,尤其對于智能制造企業,誤操作的影響非常惡劣,錯誤操作指令的下發輕則影響生產,無法按期按量完成訂單,影響交付;重則損壞生產設備,甚至造成人員傷亡乃至環境破壞。
針對以上問題,除了通過企業規章制度規范操作員的工作行為,還可以通過在過程控制層部署工業網絡專用的安全防護類、安全審計類專業設備,借助工控防火墻、工控網閘對工業協議的深度解析,核對每一條指令的合規性,阻斷一切白名單以外的非法操作。此外,通過旁掛接入交換機的工控審計,會對所有下發到控制器的流量行為進行審計,將“黑盒”的工業控制系統可視化,運維人員可以隨時追溯每一次操作。通過技術與管理雙管齊下,明察秋毫,釜底抽薪,阻斷一切誤操作。
2016年到2021年,五年間控制設備中的漏洞數量飛速增長,可遠程訪問的工業控制系統主機中,包含大量漏洞,其中不乏中高危漏洞。而這些漏洞幾乎覆蓋全部工業行業,其中制造業首當其沖,漏洞數量明顯高于其他行業,且漏洞類型也是“五花八門”,包括拒絕服務漏洞、緩沖區溢出漏洞、信息泄露漏洞等。
面對“千瘡百孔”的控制網絡,企業應當先發制人、主動防御,應用專業的工業互聯網安全檢測設備,對企業自身網絡系統掃描檢測。所謂知己知彼,百戰不殆,及時發現自身網絡薄弱點,提前進行安全防護,通過版本升級、補丁修復等方式避免漏洞攻擊,主動防御,保護自身的生產網絡“免遭毒手”。
作為國民經濟支柱產業,制造業擁有大量的工業數據,這些數據背后蘊藏著巨大經濟利益,同時大型生產企業的每日產值以及背后的關聯價值也是不可估量的,高價值且脆弱的智能制造企業的工業網絡被網絡不法分子格外關注,成為攻防對抗的“新戰場”。安全事件近幾年持續增長,2021年被ICS-CERT收錄的攻擊事件就近400件,而制造業的網絡安全事件占比達到首位。所以,智能制造企業的工業網絡安全所面臨的局勢十分嚴峻,不僅需要防范已知威脅,還需要時刻對出沒無際的未知攻擊提高警惕。
面對種種挑戰
天融信“三維一體”
天融信以“分級分域、整體保護、積極預防、動態管理”為總體安全防護思想,對智能制造企業網絡安全實施動態的管理防護手段,構建安全態勢分析、安全防護檢測、安全服務響應三維一體的智能制造網絡安全自適應動態防護體系。
三大體系通過數據互通、信息共享建立閉環動態工業信息安全中心,進行動態安全策略調整與下發,運用多元的安全技術手段,采用多維度的安全建設思路,解決不同層級的制造業工業信息安全問題,打造出綜合性、一體化的智能制造領域工業信息安全產品、服務與解決方案。
TOPSEC
在工業互聯網安全領域,作為最早一批開展工業信息安全領域研究和研發的企業之一,天融信將先進的信息安全技術與工控業務場景深度融合,安全建設能力覆蓋工業生產企業、工業互聯網平臺企業、標識解析企業等,積極為工業互聯網安全產業融合發展賦能,為工業互聯網企業網絡安全保駕護航。
